Según la norma ISO 27001, la administración de VMware Cloud Services cuenta con un plan empresarial estratégico que contempla la identificación de riesgos y la puesta en marcha de controles para mitigar o administrar riesgos. Se realizarán evaluaciones de riesgos anualmente con objeto de garantizar que existen controles adecuados para reducir riesgos relacionados con la confidencialidad, la integridad y la disponibilidad de la información confidencial.

La administración de VMware Cloud Services reevaluará el plan empresarial estratégico semestralmente. Esta evaluación ayuda al equipo de administración en la identificación de riesgos dentro de sus áreas de responsabilidad y pone en marcha las medidas adecuadas para mitigar riesgos.

Los equipos de seguridad y conformidad de la información, junto con el de administración, garantizarán que las directivas de seguridad sean conformes.

Las directrices de conducta empresarial de VMware y los cursos de concienciación sobre la seguridad son obligatorios para los nuevos empleados. Los empleados existentes realizarán este curso anualmente.

VMware proporcionará directivas de seguridad y cursos de seguridad a los empleados para formarlos sobre sus funciones y responsabilidades relativas a la seguridad de la información. VMware tomará las medidas disciplinares oportunas con los empleados que infrinjan los protocolos o estándares de VMware.

Las disposiciones de seguridad que haya en vigor se incluirán en los acuerdos de proveedor para garantizar que los proveedores están obligados por contrato a mantener unas disposiciones de seguridad adecuadas.

El programa de evaluación y auditoría de VMware garantizará la revisión de las directivas por parte de auditores independientes de acuerdo con las normas del sector, incluida la norma ISO 27001. VMware proporciona informes de auditoría conforme a un NDA.

VMware dispone de líneas base de seguridad documentadas para guiar al personal en relación con las configuraciones adecuadas para proteger cualquier información confidencial. Las configuraciones de línea base de todo el software y hardware instalado en el entorno de producción también se documentarán y se actualizarán con regularidad. Una directiva de administración de cambios definida rige los cambios que se realicen en estas configuraciones. Las configuraciones de línea base se registrarán de forma segura. VMware notificará a los clientes cuando se produzcan cambios en el servicio.